一种虹膜识别的方法和系统与流程

本发明涉及生物识别技术领域，特别涉及一种虹膜识别的方法和系统。

背景技术：

虹膜识别技术是基于眼睛中的虹膜进行身份识别的技术。传统的虹膜识别是在特定场所设置固定的虹膜识别设备。随着技术的进步，越来越希望将虹膜识别技术并入具有拍摄装置的信息处理设备，例如智能手机、平板电脑、笔记本电脑、可穿戴智能设备，甚至汽车或汽车组件和配件。

尽管在这样的设备上应用虹膜识别技术非常方便和低成本，但是这些设备对由传感器记录的信息的不安全处理存在严重的安全问题和身份窃取的可能性。

泄露虹膜信息的安全问题存在两种可能。一种是病毒、木马软件或其他的恶意软件。通过入侵信息处理设备，访问系统共享内存，监听系统消息队列，监听进程间通信，从而获取虹膜的原始图像或者虹膜编码，最终可以利用截获的信息欺骗虹膜认证。

第二种可能是在虹膜识别过程中，为了获得清晰度更高的虹膜图像，通常使用了窄角镜头。从而镜头覆盖的空间区域非常小。为了帮助用户将虹膜放置在最佳拍摄位置，通常将拍摄到的图像反馈显示到显示屏上。这使得虹膜图像在系统内更多的进程间传递，增加了图像被截获的风险。同时由于图像被显示到显示器上，这使得显示屏截图软件或者外部拍摄装置可以轻易地获得虹膜图像。

现有技术采用了两个方法来提高虹膜识别时图像的安全性。一种方法是原始的虹膜图像在被显示到显示屏之前，进行了安全处理，包括如下措施：

1)降低分辨率；

2)马赛克处理；

3)边缘探测滤镜只显示轮廓；

4)虹膜定位以后对虹膜区域进行纯色填充或者随机色填充；

5)使用各种效果滤镜破坏图像细节。

第二种方法是拍摄虹膜图像需要使用红外拍摄装置。因此在拍摄虹膜图像的图时，使用另一个可见光拍摄装置拍摄同一角度的可见光图像，然后将可见光图像作为反馈图像显示出来帮助用户寻找最佳拍摄位置。

但是这些方法都存在一定的缺陷。

1)降低分辨率。由于虹膜识别过程中对虹膜图像进行编码时通常使用了加博滤镜，这导致即使降低原始虹膜图像的分辨率，在使用加博滤镜后仍然可以得到有效的虹膜编码。

2)马赛克处理。如果马赛克处理的颗粒较大，将会有效的破坏虹膜图像信息，但是使得图像难于辨认。如果马赛克处理的颗粒较小，这样和降低分辨率的效果几乎相同，在使用加博滤镜后仍然有可能获得有效的虹膜编码。或者连续采集到多个样本后，可以收集到足够的信息还原出虹膜图像并得到虹膜编码。

3)边缘探测滤镜只显示轮廓。虽然边缘探测滤镜可以有效地去除所有非边缘区域的纹理信息。但是在手机等设备的显示区域上显示一个轮廓图像这将不同于用户的使用习惯而降低用户感受。

4)虹膜定位以后对虹膜区域进行纯色填充或者随机色填充。这个方法的安全性完全依赖于瞳孔与虹膜的位置探测算法。如果成功找到虹膜的位置，则可以完全删除虹膜信息。但是如果探测算法失败，而没有定位到虹膜，则原始信息就会未经加工的显示到显示屏上。

5)使用各种效果滤镜破坏图像细节。使用各种滤镜，对原始虹膜图像进行卷积，可以有效地破坏虹膜图像。但是如果得到了滤镜的卷积核，那么可以通过二维傅立叶变换进行卷积的逆运算，从而可以从显示图象中还原出原始图像。

另外使用可见光拍摄装置显示反馈图像的方法，虽然在亚洲人种的黑色虹膜上应用时可以有效地隐藏虹膜信息，但是在其他彩色虹膜人种上应用时，仍然可以得到虹膜的图像信息。这样仍然存在开发出某种算法来推算红外光下的虹膜图像的可能性。

技术实现要素：

本发明的实施例提供一种虹膜识别的方法和系统，可以提高虹膜识别的安全性，并且提高用户进行虹膜识别的方便程度。

本发明的实施例提供了一种虹膜识别的方法，包括以下步骤：

在信息处理设备中设置安全内存区域，将用户的原始虹膜图像及其编码存放在所述安全内存区域；

通过用户面部图像在所述信息处理设备上的反馈，将所述用户的虹膜定位在红外拍摄装置的拍摄位置；

所述红外拍摄装置获取所述用户的临时虹膜图像，将所述临时虹膜图像存放到所述安全内存区域；

从所述临时虹膜图像抽取信息进行编码，并将所述临时虹膜图像的编码存放到所述安全内存区域中；

在所述安全内存区域中将所述临时虹膜图像的编码与所述原始虹膜图像的编码进行比对，以识别用户。

优选地，所述安全内存区域是独立内存安全区域、进程独立的虚拟内存区域或者系统内核内存区域。

优选地，还包括以下步骤：

所述原始虹膜图像及其编码和/或所述临时虹膜图像及其编码在使用后清零。

优选地，所述通过用户面部图像在所述信息处理设备上的反馈，将所述用户的虹膜定位在红外拍摄装置的拍摄位置，进一步包括以下步骤：

在红外拍摄装置的拍摄方向垂直的平面上设置反射镜或者在靠近红外拍摄装置的显示屏区域内显示黑色或者深色的区域，使得显示屏表面产生反射镜的效果；

所述用户在所述反射镜看到眼睛或者鼻子，所述用户的虹膜定位在红外拍摄装置的拍摄位置。

优选地，所述通过用户面部图像在所述信息处理设备上的反馈，将所述用户的虹膜定位在红外拍摄装置的拍摄位置，进一步包括以下步骤：

所述信息处理设备的可见光拍摄装置或者红外拍摄装置拍摄所述用户的面部图像，存放到所述安全内存区域；

在所述安全内存区域采用不可逆滤镜对所述面部图像进行卷积；

在显示屏上显示处理后的面部图像，并与所述显示屏上预先显示的位置区域进行匹配，以协助将所述用户的虹膜定位在红外拍摄装置的拍摄位置。

优选地，所述不可逆滤镜的边长不小于在分析虹膜编码时使用的加博滤镜的边长的对应值。

优选地，所述不可逆滤镜是二维中值滤镜，或者是两个互成90度的一维中值滤镜。

优选地，所述不可逆滤镜是高值滤镜或者低值滤镜。

本发明的实施例还提供了一种虹膜识别的系统，位于信息处理设备中，包括红外拍摄装置、安全内存区域模块、编码模块和比对模块，其中，

红外拍摄装置用于获取所述用户的临时虹膜图像，将所述临时虹膜图像存放到安全内存区域模块；

安全内存区域模块用于存放用户的原始虹膜图像及其编码和临时虹膜图像及其编码；

编码模块用于从所述临时虹膜图像抽取信息进行编码，并将所述临时虹膜图像的编码存放到安全内存区域模块；

比对模块用于将所述临时虹膜图像的编码与所述原始虹膜图像的编码进行比对，以识别用户。

优选地，还包括反射镜，所述反射镜设置在红外拍摄装置的拍摄方向垂直的平面上，用于所述用户在所述反射镜看到眼睛或者鼻子，所述用户的虹膜定位在红外拍摄装置的拍摄位置。

优选地，还包括显示屏，所述显示屏用于在靠近红外拍摄装置的区域内显示黑色或者深色的区域，使得显示屏表面产生反射镜的效果，所述用户在所述反射镜看到眼睛或者鼻子，所述用户的虹膜定位在红外拍摄装置的拍摄位置。

优选地，还包括可见光拍摄装置、不可逆滤镜模块和显示屏，其中，

可见光拍摄装置用于拍摄所述用户的面部图像；

不可逆滤镜模块用于对所述面部图像进行卷积；

显示屏用于显示处理后的图像，并显示协助将所述用户的虹膜定位在红外拍摄装置的拍摄位置的位置区域。

优选地，所述不可逆滤镜模块是二维中值滤镜模块，或者是两个互成90度的一维中值滤镜模块。

优选地，所述不可逆滤镜是高值滤镜或者低值滤镜。

本发明技术方案由于在对用户进行虹膜识别的过程中，从用户虹膜的定位、虹膜图像的采集、虹膜图像的编码和虹膜图像的比对，都在安全内存区域完成，或者尽量减少进程间传递，从而降低了虹膜图像被截获的风险，使得显示屏截图软件或者外部拍摄装置无法获得虹膜图像，提高了虹膜识别的安全性以及便利性。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明实施例一中虹膜识别的流程图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

图1为本发明实施例一中虹膜识别的流程图。如图1所示，该虹膜识别流程包括以下步骤：

步骤101、在信息处理设备中设置安全内存区域，将用户的原始虹膜图像及其编码存放在安全内存区域。

该安全内存区域可以是独立内存安全区域。安全内存区域可以应用arm芯片的trustzone技术，或者intel的sgx技术，以确保只有虹膜识别进程可以访问安全内存区域中保存的虹膜相关信息。

在没有独立内存安全区域的信息处理设备上应用虹膜识别时，该安全内存区域可以使用进程独立的虚拟内存区域(usermodespace)，以确保只有虹膜识别进程和系统进程可以访问，并通过特殊指令确保这些区域的信息不会被系统临时交换到swap文件上去。

该安全内存区域也可以使用系统内核内存区域(kernelspace)，以确保只有系统进程可以访问。

同时告诫用户为了保证信息安全性，不要root信息处理设备和安装来历不明的软件。

步骤102、通过用户面部图像在信息处理设备上的反馈，将用户的虹膜定位在红外拍摄装置的拍摄位置。

为了更好地帮助用户将虹膜放置在最佳拍摄位置，需要获取用户的面部图像，但是在获取用户面部图像的过程中，可能被第三方截获，因此需要采取措施，在不会被第三方截获的前提下，将用户的虹膜定位在红外拍摄装置的拍摄位置。也即为了获得尽可能高的安全性，应当尽可能避免将含有虹膜信息或者可能含有虹膜信息的图像传递到安全内存区域以外，而通过其他方法帮助用户将虹膜放置在最佳拍摄位置。可以根据不同的情况采取以下措施：

第一种措施是，在需要追求更高的安全性，或者不便于部署反馈显示器的场合，比如在汽车车厢内配置虹膜识别时，在红外拍摄装置的拍摄方向垂直的平面上设置反射镜，当该用户在反射镜能够看到自己眼睛或者鼻子，该用户的虹膜正好定位在红外拍摄装置的拍摄位置。

第二种措施是，在不便于部署反射镜的场合，比如手机或者平板电脑的面板上，在靠近红外拍摄装置的显示屏区域内显示黑色或者深色的区域，使得显示屏表面产生反射镜的效果，当该用户在反射镜看到自己眼睛或者鼻子，该用户的虹膜正好定位在红外拍摄装置的拍摄位置。

第三种措施是，在顾及用户体验高于安全性的场合，首先采用信息处理设备的可见光拍摄装置或者红外拍摄装置拍摄该用户的面部图像，存放到安全内存区域。

然后在该安全内存区域采用不可逆滤镜对该面部图像进行卷积。不可逆滤镜的边长应不小于在分析虹膜编码时使用的加博滤镜的边长的对应值，以使得从显示出的面部图像分析虹膜编码时无法提取有效的信息，也不可能通过二维傅立叶变换还原出原始虹膜图像。

该不可逆滤镜可以采用多种实现方式，包括但不限于二维中值滤镜、两个互成90度的一维中值滤镜、独立的一维中值滤镜，或者随机滤镜，该不可逆滤镜还可以是高值滤镜或者低值滤镜。

在一个大小为m×n的图像上应用一个边长为k的二维中值滤镜时，其复杂度为m×n×k²，在性能较弱的移动设备上应用时，可以使用两个互成90度的一维中值滤镜来替代二维中值滤镜，其复杂度为m×n×k，当k值较大时可以明显提升性能。

最后在显示屏上显示处理后的面部图像，并与显示屏上预先显示的位置区域进行匹配，当面部图像和预先显示的位置区域重合时，该用户的虹膜正好定位在红外拍摄装置的拍摄位置。

在选择上述三种措施时，为了尽量提高安全性，可以在发生频率较低的虹膜信息录入时应用反馈显示式虹膜定位，而在发生频率更高的虹膜验证时应用非反馈式虹膜定位。

步骤103、信息处理设备的红外拍摄装置拍摄获取该用户的临时虹膜图像，将该临时虹膜图像存放到安全内存区域。

步骤104、从该临时虹膜图像抽取信息进行编码，并将该临时虹膜图像的编码也存放到安全内存区域中。

步骤105、在安全内存区域中将临时虹膜图像的编码与原始虹膜图像的编码进行比对，以识别用户。

步骤106、上述原始虹膜图像及其编码和/或临时虹膜图像及其编码在使用后尽快清零。

由于在对用户进行虹膜识别的过程中，从用户虹膜的定位、虹膜图像的采集、虹膜图像的编码和虹膜图像的比对，都在安全内存区域完成，或者尽量减少进程间传递，从而降低了虹膜图像被截获的风险，使得显示屏截图软件或者外部拍摄装置无法获得虹膜图像，提高了虹膜识别的安全性以及便利性。

为了实现上述流程，本发明实施例还提供了虹膜识别系统。

根据不同的环境，该虹膜识别系统可以采用以下三种方案。

第一种方案是在需要追求更高的安全性，或者不便于部署反馈显示器的场合，比如在汽车车厢内配置虹膜识别时，该系统包括反射镜、红外拍摄装置、安全内存区域模块、编码模块和比对模块。

其中反射镜设置在红外拍摄装置的拍摄方向垂直的平面上，当用户在该反射镜看到眼睛或者鼻子，用户的虹膜正好定位在红外拍摄装置的拍摄位置。

红外拍摄装置获取用户的临时虹膜图像，将临时虹膜图像存放到安全内存区域模块。

安全内存区域模块存放用户的原始虹膜图像及其编码和临时虹膜图像及其编码。

该安全内存区域模块可以是独立内存安全区域。安全内存区域可以应用arm芯片的trustzone技术，或者intel的sgx技术，以确保只有虹膜识别进程可以访问安全内存区域中保存的虹膜相关信息。

在没有独立内存安全区域的信息处理设备上应用虹膜识别时，该安全内存区域模块可以使用进程独立的虚拟内存区域(usermodespace)，以确保只有虹膜识别进程和系统进程可以访问，并通过特殊指令确保这些区域的信息不会被系统临时交换到swap文件上去。

该安全内存区域模块也可以使用系统内核内存区域(kernelspace)，以确保只有系统进程可以访问。

编码模块从临时虹膜图像抽取信息进行编码，并将临时虹膜图像的编码存放到安全内存区域模块。

比对模块将临时虹膜图像的编码与原始虹膜图像的编码进行比对，以识别用户。

第二种方案是在不便于部署反射镜的场合，比如手机或者平板电脑的面板上，该系统与第一种方案的系统的区别仅在于，没有设置反射镜，而是另外包括显示屏，显示屏在靠近红外拍摄装置的区域内显示黑色或者深色的区域，使得显示屏表面产生反射镜的效果，当用户在该反射镜看到自己眼睛或者鼻子，该用户的虹膜正好定位在红外拍摄装置的拍摄位置。

第三种方案是在顾及用户体验高于安全性的场合，该系统包括可见光拍摄装置、不可逆滤镜模块、显示屏、红外拍摄装置、安全内存区域模块、编码模块和比对模块。

可见光拍摄装置拍摄该用户的面部图像。也可以就采用红外拍摄装置直接拍摄该用户的面部图像。

不可逆滤镜模块对面部图像进行卷积。该不可逆滤镜可以采用多种实现方式，包括但不限于二维中值滤镜、两个互成90度的一维中值滤镜、独立的一维中值滤镜，或者随机滤镜，该不可逆滤镜还可以是高值滤镜或者低值滤镜。

显示屏用于显示处理后的图像，并显示协助将所述用户的虹膜定位在红外拍摄装置的拍摄位置的位置区域。

红外拍摄装置获取用户的临时虹膜图像，将临时虹膜图像存放到安全内存区域模块。

安全内存区域模块存放用户的原始虹膜图像及其编码和临时虹膜图像及其编码。

该安全内存区域模块可以是独立内存安全区域。安全内存区域可以应用arm芯片的trustzone技术，或者intel的sgx技术，以确保只有虹膜识别进程可以访问安全内存区域中保存的虹膜相关信息。

在没有独立内存安全区域的信息处理设备上应用虹膜识别时，该安全内存区域模块可以使用进程独立的虚拟内存区域(usermodespace)，以确保只有虹膜识别进程和系统进程可以访问，并通过特殊指令确保这些区域的信息不会被系统临时交换到swap文件上去。

该安全内存区域模块也可以使用系统内核内存区域(kernelspace)，以确保只有系统进程可以访问。

编码模块从临时虹膜图像抽取信息进行编码，并将临时虹膜图像的编码存放到安全内存区域模块。

比对模块将临时虹膜图像的编码与原始虹膜图像的编码进行比对，以识别用户。

上述虹膜识别系统由于在对用户进行虹膜识别的过程中，从用户虹膜的定位、虹膜图像的采集、虹膜图像的编码和虹膜图像的比对，都在安全内存区域完成，或者尽量减少进程间传递，从而降低了虹膜图像被截获的风险，使得显示屏截图软件或者外部拍摄装置无法获得虹膜图像，提高了虹膜识别的安全性以及便利性。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。